前篇文章中分享了導入零信任架構之效益,接下來將討論焦點移往策略落地時的常見主題:推動挑戰。
以下整理了導入零信任時常見的六大挑戰:
一、評估導入零信任之預算
實施零信任可能需要一些新的安控機制,但這很大程度上取決於企業目前的網路架構和安全需求。零信任主要是一種安全性原則與態度,它可能需要更進階的身份驗證或訪問控制技術,然而更重要的是要明白零信任不僅僅是一種產品或解決方案,而是一種長期的資訊安全管理策略,應該根據組織的具體需要和環境來客製化,並評估管理面與實務面之所需。
二、評估零信任導入優先性與權責分配
零信任突破傳統信任邊界的限制,企業不再只保護網路存取,而是保護所有資料與應用存取。使用者、設備、網路、資料與應用程式皆為零信任導入重要控管點,企業需衡量各資產及資源導入的優先性,以及相應單位於導入時的權責。
三、整合客戶系統既有架構與零信任架構
零信任架構需要更精細的身分驗證和授權機制,企業如何於最小化更動既有架構下達成零信任部署為一大難題。企業需瞭解現行架構與零信任架構的差異,有效的調整所需新增、刪除或整併的設備及技術。
四、缺乏零信任導入的統一標準
零信任是一種新興的網路安全架構,目前市場上尚缺乏一個統一的實踐標準。另一方面,零信任涉及的領域極為廣泛,這些因素都加大了制定統一標準的難度。以金融業為例,首要的應對策略就是密切關注相關的行業動態,例如由全球金融服務業資訊分享和分析中心(FS-ISAC)、美國國家標準技術研究所(NIST)以及其他專業組織(如 CISA、DoD)發布的最新指南和白皮書。
此外,金融機構也可考慮參與行業協會或工作組,與其他組織共用經驗,共同推動零信任標準的制定。同時,金融機構在選擇零信任產品和服務供應商時,應詳細瞭解其解決方案的架構和實施方法,以確保其能符合機構自身的需求和風險容忍度。而且,由於金融業對於資訊安全和法規遵從的要求極高,金融機構在實施零信任策略時,應進行詳盡的風險評估,並確保所有的措施都能符合相關的法規要求。
五、零信任要如何開始
企業需要理解自身網路架構,資料流向和資產位置,並建立一個零信任網路的實施規劃。這可能包括確定需要保護的資料和系統、瞭解如何管理和驗證身份、探索如何最有效地實施訪問控制、並制定一種策略來監視和回應威脅。然後,可以根據計劃來實施零信任原則和技術。
六、零信任網路規劃如何選定範圍
試辦範圍(Pilot)是一種常見的實施新技術或策略的方法。可以選擇一個具有代表性但相對衝擊性低的的業務或流程來開始實施零信任。選擇試點專案的範圍時,可能需要考慮的因素包括該範圍的業務重要性、資訊安全的風險和挑戰,以及實施新策略的可行性。
零信任架構(ZTA)導入最佳實務
勤業眾信提供企業建立零信任網路的解決方案諮詢服務,以協助各企業順利數位轉型。借鑒多個權威機構的指南和框架,包括臺灣國家資通安全研究院零信任、美國國家標準與技術研究院(NIST)《SP 800-207》、美國網路安全暨基礎安全局(CISA)《零信任成熟度模型》及美國國防部(DoD)《零信任參考架構》。主要圍繞七大支柱:包含身分、設備、網路、資料、應用程式與工作負載、可視性及分析、自動化與協調,依客戶需求與現行網路成熟度逐步導入。
提供適合各種企業的解決方案,對於需要遵循政府標準的客戶,提供一套基礎方案,涵蓋身分鑑別、設備鑑別到信任推斷的全程規劃與部署。除遵循政府標準,並將協助客戶於既有框架下完善零信任架構,包含規劃零信任發展藍圖、提供零信任架構與企業管理現況之差異分析,並依各支柱成熟度導入零信任網路部署。
